安全風險評估方式范文

導語：如何才能寫好一篇安全風險評估方式，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

摘要：本文通過深入分析一起典型海上救助拖帶作業案例風險點，總結出一種海上救助拖帶作業的風險評估方法，并結合工作實踐，提出了此類救助風險評估注意事項和作業中較為實用的風險防范措施和方法。

關鍵詞：救助 拖帶 風險評估安全 防范

0引言

近年來，受極端惡劣天氣的異常影響，海上安全形勢的復雜多變，涉海突發事件呈現多發趨勢，救助遇險種類呈現出多元化和復雜化的特點，救助船舶面臨著更為復雜多樣的風險和挑戰。據統計2016全年，我國東海海域船舶因機械故障遇險出動救助次數為19起，占救助總量的13%，數量呈逐年上升趨勢。此類救助常采取拖帶救助方式，作業難度大、風險高。尤其拖救超大型船舶流程繁瑣而復雜，風險控制要求高。因此對海上救助拖帶作業風險進行深入的研究，作業前充分開展風險評估，采取相應的防范措施，對于保障此類救助作業的安全十分重要。

1典型案例

2017年1月23日深夜，滿載鋼材及合板某散貨船（長189m 、寬32m、吃水12m、滿載5.7萬噸鋼材和三合板）航行在中國沿海某水域，主機發生故障，現場風力7至8級，處于漂航狀態,請求緊急救助。救助船接到救助指令后，立即組織實施作業風險評估，落實防范措施。24日上午，救助船抵達現場開始帶纜，并起拖。主拖纜放至500m，拖纜共640m（其中30m龍須纜，110m短纜，500m主拖纜）。由于事發海域，水深、風大、涌高，并受黑潮流的嚴重影響，被拖船左右甩偏蕩，為此，救助船采取降車、降速并及時調整航向，通知預險船操舵跟隨救助船，以減小偏蕩。24日下午，救助船掉頭后，發現被拖船左右偏蕩非常嚴重，偏蕩幅度最大達180°，救助船分析當時流壓態勢，通過慢車、調整航向、協調遇險船操舵來控制，調整姿態，最終順利抵達某港引水錨地，救援結束。

2 風險評估

2.1開展風險評估，首先要獲取風險評估要素

上述典型案例中，救助船舶根據當時的天氣海況、失去動力船舶的狀況、救援的需求等，獲取風險評估要素有以下幾個方面：

（1）遇險船舶為滿載鋼材等貨物的大型船舶，質量大，吃水深，救助作業中沒有任何動力設備協助。拖帶航行期間，無法配合救助船作業，容易產生大幅偏蕩導致救助船操縱困難和斷纜。

（2）遇險船船員缺乏救助作業經驗和相關知識，需要救助船舶船員進行指導。

（3）到達目的地，沒有其他船舶配合難以在狹窄水域或指定地點錨泊。

（4）風浪大，救助船舶搖晃劇烈，現場人員轉運和實施相關救助作業風險較大。海況有進一步惡化趨勢，將加劇救助作業的難度和風險。

（5）由于海況惡劣，救助船在作業中也可能發生意外，增加拖帶救助作業的不確定性。

2.2通過分析、評估、判斷，標明以上要素發生風險事件的可能性概率

通過評估，再標明出該風險要素發生的后果嚴重程度。風險等級可通過事故發生的可能性概率和事故的后果嚴重程度的乘積計算得出，即風險等級=可能性×嚴重性。

如得出風險等級為微小風險，一般無須采取任何行動方法措施；如得出風險等級為可容忍的風險，無須任何額外的控制措施，但可考慮增加具有成本效益的解決方法，或作一些改善，而無須付出額外的成本。需保持監控，確保在控制之中；如得出風險等級為中度風險，應采取行動降低風險，但所用成本應小心衡量，不可太高，同時應在限定時間內實施降低風險的措施；如得出風險等級為重大的風險，降低風險之前，不得開始工作，同時也可能需要為降低風險付出大量資源。若風險涉及進行中的工作，必須采取緊急防范行動；如得出風險等級為不可容忍的風險，降低風險之前，不論工作是否已經開始，都必須停止。

2.3 確定風險等級

救助作業風險評估救助船舶在實施救助作業前意識到作業存在的風險，并在本船的能力下采取相應措施后進行評估，判斷作業安全是否可控，確定每一個工作過程風險等級，并采取相應的防范措施，只有在風險可控下船舶方可實施救助作業。但如果任一個工作過程風險等級為判定為重大風險，救助船舶可通過改進措施，對改進措施后的風險重新評估，如風險可控，作業方可實施。一旦以船舶的自身能力已無法控制作業安全風險，應立即向岸基指揮部門報告，由岸基指揮部門采取措施給予岸基支持，再次開展風險評估，確定降低和控制風險措施，如果岸基指揮部門評估風險不可控，救助作業應立即暫停或終止。風險評估流程圖詳見圖2-1所示。

3拖航救助的風險防范

（1）針對本文典型案例，救助船舶制定了以下防范措施來降低風險等級

① 及時與遇險船舶進行溝通，了解其船舶主機設備的損壞情況。

② 將救助船將要執行的救助計劃告知遇險船，使其了解救助工作的方法和步驟，便于配合。

③ 再次檢查測試救助船相關設備情況，提高設備運行的可靠性，降低風險。

④ 落實人員到崗，細化工作步驟，落實安全措施。

⑤ 落實可能出現的應急情況下的應急預案。

⑥ 如有必要，選派合適人員登遇險船舶開展工作，便于溝通和現場作業指導。

⑦ 針對到達目的地后可能出現的失控情況，申請岸基支援，增加輔助拖輪協助作業。

（2）對于救助作業前期的風險評估、風險源的甄別和風險防范措施等，救助船和岸基指揮部門應在作業前應進行充分的確認措施落實情況，以達到對預知風險的可控。

（3）在執行救助大型船舶拖航任務時，還應充分考慮到主機功率及安全負荷，留足安全余量，避免主機長時間高負荷或超負荷運轉，對機器和其他機械設備造成損傷。

（4）遇險船舶已接受大風浪考驗且未危及安全的前提下，如氣象海況好轉，救助區域環境許可，應考慮選擇恰當的時機實施救助，避免惡劣海況下的產生無謂的風險和損耗，但在等待過程中應做好充分的應急準備，如遇險人員應急接救準備等。

（5）作業期間還應加強作業船舶和現場指揮人員、協調人員、遇險船舶的溝通協調，以確保船舶實施救助或實戰訓練達到最佳的效果。救助船舶應避免盲從現場其他人員或岸基指揮人員的要求，要充分考慮自身安全，要預判好趨勢的發展對救助作業和安全帶來的困難，避免盲目作業，以免對自身和遇險對象造成更嚴重的傷害。

4救助評估作業注意事項

（1）評估要素一次救助作業過程應進行分段，細分工作過程、作業步驟和流程。例如,救助主機故障拋錨船可分為“航行抵達救助區域——帶纜——啟拖——拖航——指定地點拋錨解拖”等，應盡可能細分。

（2）可能存在風險應對每一分段的作業要素的風險分別進行評估，并盡可能列舉每一段作業存在的所有風險。例如,指定地點被拖船拋錨解拖過程中可能存在的風險，如錨地拋錨船多，水域狹窄、富裕水深不足、順流進入指定地點船隊操控困難、主拖纜拖底損壞、被拖船拋錨后錨鏈倒拖走錨等。

（3）可能導致事故和健康危害對可能存在風險中的每一個不安全的風險進行評估可能造成的后果。例如，順流進入指定地點船隊操控困難存在的危害與拋錨船發生碰撞、無法順水拋錨、無法錨地掉頭等。

（4）降低和控制風險措施中應針對存在的風險和危害制定相應的措施進行控制和降低。例如：針對4.3中的例子，措施可采用控制船隊船速，選擇頂水進錨地，或者錨地外繞行頂水進入，或者錨地外緣開敞水域拋錨等。

（5）船舶在現有措施能夠安全完成救助作業的情況下，事先救助作業風險評估應為可容忍風險和小風險，如評估為重大風險和不可容忍風險時，必須暫停或終止作業報岸基指揮部門。如本文典型案例中拖帶航行期間產生了大幅偏蕩，該風險極易導致救助船操縱困難和斷纜，為重大風險，救助船舶采取了慢車、調整航向等措施控制，有效地避免了斷裂事故的發生。

（6）在評估滿足作業條件后方可開展救助作業，但一旦船長認為現場救助作業可能危及船舶、人員或海洋環境時，應立即暫停或終止救助作業，并向岸基指揮部門報告，由指揮部門制定措施再次評估，直到可行，一旦不可行，應終止作業。

（7）岸基指揮部門評估結果應及時傳遞至救助船舶，為其作業提供依據，救助船舶應嚴格落實好岸基指揮部門提供的措施，同時應把落實的措施記錄于《航海日志》中。

篇2

【關鍵詞】網絡 安全風險 評估 關鍵技術

結合我國近年來的互聯網應用經驗可知，用戶的互聯網使用過程很容易受到惡意軟件、病毒及黑客的干擾。這種干擾作用可能引發用戶重要數據信息的丟失，為用戶帶來一定的經濟損失。因此，利用綜合評估技術、定性評估技術等開展網絡安全風險評估具有一定的現實意義。

1 常見的網絡攻擊手段

目前較為常見的網絡攻擊手段主要包含以下幾種：

1.1 IP欺騙攻擊手段

這種攻擊手段是指，不法分子利用偽裝網絡主機的方式，將主機的IP地址信息復制并記錄下來，然后為用戶提供虛假的網絡認證，以獲得返回報文，干擾用戶使用計算機網絡。這種攻擊手段的危害性主要體現在：在不法分子獲得返回報文之前，用戶可能無法感知網絡環境存在的危險性。

1.2 口令攻擊手段

口令攻擊手段是指，黑客實現選定攻擊主機目標之后，通過字典開展測試，將攻擊對象的網絡口令破解出來。口令攻擊手段能夠成功應用的原因在于：黑客在利用錯誤口令測試用戶UNIX系統網絡的過程中，該系統網絡不會對向用戶發出提示信息。這種特點為黑客破解網絡口令的過程提供了充裕的時間。當黑客成功破解出網絡口令之后，可以利用Telnet等工具，將用戶主機中處于加密狀態的數據信息破解出來，進而實現自身的盜取或損壞數據信息目的。

1.3 數據劫持攻擊手段

在網絡運行過程中，不法分子會將數據劫持攻擊方式應用在用戶傳輸信息的過程中，獲得用戶密碼信息，進而引發網絡陷入癱瘓故障。與其他攻擊手段相比，數據劫持攻擊手段產生的危害相對較大。當出現這種問題之后，用戶需要花費較長的時間才能恢復到正常的網絡狀態。

2 網絡安全風險評估關鍵技術類型

網絡安全風險評估關鍵技術主要包含以下幾種：

2.1 綜合評估技術

綜合評估技術是指，在對網絡安全風險進行定性評估的同時，結合定量評估的方式提升網絡安全風險評估的準確性。

2.2 定性評估技術

定性評估技術向網絡安全風險評估中滲透的原理為：通過推導演繹理論分析網絡安全狀態，借助德爾菲法判斷網絡中是否存在風險以及風險的類型。這種評估技術是我國當前網絡安全評估中的常用技術之一。

2.3 定量評估技術

這種評估方式的評估作用是通過嫡權系數法產生的。定量評估技術的評估流程較為簡單，但在實際的網絡安全風險評估過程中，某些安全風險無法通過相關方式進行量化處理。

3 網絡安全風險評估關鍵技術的滲透

這里分別從以下幾方面入手，對網絡安全風險評估關鍵技術的滲透進行分析和研究：

3.1 綜合評估技術方面

結合我國目前的網絡使用現狀可知，多種因素都有可能引發網絡出現安全風險。在這種情況下，網絡使用過程中可能同時存在多種不同的風險。為了保證網絡中存在的安全風險能夠被全部識別出來，應該將綜合評估技術應用在網絡安全風險的評估過程中。在眾多綜合評估技術中，層次分析法的應用效果相對較好。評估人員可以將引發風險的因素及功能作為參照依據，將既有網絡風險安全隱患分成不同的層次。當上述工作完成之后，需要在各個層次的網絡安全風險之間建立出一個完善的多層次遞接結構。以該結構為依據，對同一層次中處于相鄰關系的風險因素全部進行排序。根據每個層次風險因素的順序關系，依次計算網絡安全風險的權值。同時，結合預設的網絡安全風險評估目標合成權重參數，進而完成對網絡安全風險評估的正確判斷。

3.2 定性評估技術方面

定性評估技術的具體評估分析流程主要包含以下幾個步驟：

3.2.1 數據查詢步驟

該步驟是通過匿名方式完成的。

3.2.2 數據分析步驟

為了保證網絡安全風險評估結果的準確性，定性評估技術在數據分析環節通過多次征詢操作及反饋操作，分析并驗證網絡安全風險的相關數據。

3.2.3 可疑數據剔除步驟

網絡安全風險具有不可預測性特點。在多種因素的影響下，通過背對背通信方式獲得的網絡安全風險數據中可能存在一些可疑數據。為了避免這類數據對最終的網絡安全風險評估結果產生干擾作用，需要在合理分析網絡安全現狀的情況下，將可疑數據從待分析數據中剔除。

3.2.4 數據處理及取樣步驟

通過背對背通信法獲得的數據數量相對較多，當數據處理工作完成之后，可以通過隨機取樣等方法，從大量網絡安全風險數據中選出一部分數據，供給后續評估分析環節應用。

3.2.5 累計比例計算及風險因素判斷步驟

累計比例是風險因素判斷的重要參考依據。因此，評估人員應該保證所計算累計比例的準確性。

3.2.6 安全系數評估步驟

在這個步驟中，評估人員需要根據前些步驟中的具體情況，將評估對象網絡的安全風險系數確定出來。

與其他評估技術相比，定性評估技術的評估流程較為復雜。但所得評估結果相對較為準確。

3.3 定量評估技術方面

這種評估技術的評估原理為：通過嫡權系數法將評估對象網絡的安全數據參數權重計算出來。這種評估方法的應用優勢在于：能夠度量網絡系統中的不確定因素，將網絡安全風險量化成具體數值的形式，為用戶提供網絡安全狀態的判斷。

4 結論

目前用戶運用互聯網的過程主要受到數據劫持攻擊、口令攻擊、IP欺騙攻擊等手段的干擾。對于用戶而言，網絡安全風險的存在為其正常使用帶來了一定的安全隱患。當隱患爆發時，用戶可能會面臨極大的經濟損失。這種現象在企業用戶中有著更為明顯的體現。為了改善這種現象，促進互聯網應用的正常發展，應該將定量評估技術、定性評估技術以及綜合評估技術等，逐漸滲透在網絡安全風險評估工作中。用戶除了需要通過防火墻、病毒r截軟件等工具改善網絡環境之外，還應該加強對網絡安全風險評估的重視。當獲得網絡安全風險評估結束之后，應該需要通過對評估資料的分析，有針對性地優化自身的網絡系統，降低數據丟失或損壞等惡性事件的發生概率。

參考文獻

[1]陳雷.網絡安全態勢評估與預測關鍵技術研究[D].鄭州：信息工程大學，2015.

[2]李靖.網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用，2014（05）：82-84.

[3]覃宗炎.網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用，2014（04）：168-170.

[4]毛捍東.基于邏輯滲透圖模型的網絡安全風險評估方法研究[D].北京：國防科學技術大學，2008.

[5]宣蕾.網絡安全定量風險評估及預測技術研究[D].北京：國防科學技術大學，2007.

篇3

【關鍵詞】安全生產風險；作業風險評估；變電專業

0.前言

電力生產活動涉及電網、設備、生產環境、作業及管理等方面的風險。安全生產風險管理體系提出了九大管理單元,對安全生產各個環節進行管理。九大單元(模塊)包括:安全管理、風險評估與控制、應急與事故管理、作業環境、生產用具、生產管理、職業健康系統、能力要求與培訓、檢查與審核。九大單元(模塊)又由51個要素、159個管理節點和480條管理子標準組成。這九個單元指出了安全生產需要管理的范圍,要素指出了需要具體管理的工作內容,管理節點指出了要素的管理關鍵點和流程節點,子標準是各個流程節點的工作要求或方法。單元、要素、節點、子標準之間相互關聯或鏈接,形成基于風險的安全生產管理有機整體。[1]其中風險評估與控制管理單元中的作業風險評估是變電運行專業其中一個重要的風險評估工作，是安全生產風險管理體系持續運轉的重要環節，也是確保變電運行專業現場作業風險可控、預控的關鍵。

1.作業風險評估的一般方法

風險評估的一般方法是PES法，就是說在進行風險等級分析時需考慮三個因素：由于危害造成可能事故的后果；暴露于危害因素的頻率；完整的事故順序和發生后果的可能性。

風險評估公式：風險值 =后果(S)×暴露(E)×可能性(P)

在使用公式時，根據現有的基礎數據和風險評估人員的判斷與經驗確定每個因素分配的數字等級或比重。后果、暴露、可能性的定義如下：

后果：指所考慮的風險造成的最可能后果，包括傷害，疾病，財產損壞。事故的后果，從100分的“災難”到1分的“小割傷或擦傷”，按程度分別賦予相應的數值。

暴露：指危害事件發生的頻率，這個危害事件是第一個可能啟動事故序列的意外事件。危險事件發生的頻率，從10分的“持續通過”到0.5分的“特別的少”按層次分別賦予相應的數值[1]。

2.作業風險評估工作開展的工作方法

電力企業風險評估有三類：a.基準風險評估，即對企業生產作業流程進行全面的風險評估，并作為持續改進的基準。b.基于問題的風險評估，即針對企業基準風險評估中所確定高風險對象，或生產過程中發生事故、事件暴露的高風險問題進行風險評估；c.持續風險評估，即企業開展持續的風險評估，及時、動態修改風險評估內容，并做出相適應的規避風險措施。[1]變電運行專業的作業風險評估屬于基準風險評估，每年定期開展。年度作業風險評估開展流程如下：

一是作業風險評估技能回顧，主要是對班組代表開展作業風險評估技能專項培訓。重點回顧作業風險評估方法，基準作業風險評估工作的順利開展。

二是作業風險評估回顧、評估內容更新，主要是對上一年度已完成的作業風險評估、作業風險評估概述，根據最新作業任務清單，結合年度審查中關于作業風險評估所發現的問題，重新運用PES作業風險評估方法，組織人員審查班組有關評估結果。

三是回顧、更新關鍵任務。運行人員在作業風險評估結果的基礎上，回顧各項關鍵任務，形成關鍵任務分析，為作業表單修編工作提供依據。

四是是修編作業風險概述。根據作業風險評估結果，形成本班組作業風險概述。

最后是風險評估結果應用。就是說跟據本班組的作業風險概述，審查有關控制風險的管理措施和技術措施的落實情況，制定有關措施的實施工作計劃，推進計劃的落實。

3.作業風險評估工作在變電運行的運用

在開展變電運行的作業風險工作過程中往往存在以下兩個問題：一是全員參與性不足，特別是資歷較深的運行人員。這會影響到評估結果的準確性，同時也失去了全面增強全體人員風險意識的機會。二是作業風險評估結果不能應用到作業表單，進而不能有效控制現場風險。

為了解決全員參與性不足的問題，我們采取分組討論--集中審核的方式，資歷較深的運行人員被平均分到小組中討論，充分發揮他們經驗豐富的優點，為作業風險評估提供依據。集中審核時采取交叉審核方式，有利于保證人員參與作業風險評估的完整性。為了解決作業風險評估結果的應用性問題，在執行作業表單時必須對表單中的風險評估結果進行審核，發現作業風險評估結果未能應用到新作業表單中時，應該立即啟動安全風險管理體系中的糾正與預防流程，提出修編建議。

下面以500kV某變電站為例，闡述作業風險評估在變電運行中的開展情況：

（1）根據相關作業風險評估工作方案，500kV某變電站選派安全區代表參加局組織的安全風險管理體系知識和作業風險評估培訓班，接著在站內開展作業風險評估知識培訓，以保證作業風險評估方法的全員掌握。

（2）經過全體人員討論和梳理，本專業共有作業任務59項。

（3）利用安全活動或交接班的機會，將59項作業任務分成三組開展作業風險評估工作，然后集中交叉審核和討論，最后匯總成為《區域內作業風險評估填報表》。

（4）最后形成本站的作業風險概述。總結出500kV某變電站日常工作中存在的主要危害有9種。對這9種危害進行評估，得出可接受及低風險主要分布在化學危害、職業健康、物理危害、人機功效、環境危害。中等風險危害有7個,中等風險危害有行為危害、化學危害、職業健康、物理危害、人機功效、環境危害，包括誤碰故障設備、錯投退壓板、合（分）刀閘不到位、受傷的人、開路的CT等等。作業風險結果為修編作業表單提供依據。

（5）根據作業風險評估結果，修編運行專業的作業表單。目前500kV某變電站共有42份通用變電作業表單和8份專用變電作業表單，為變電運行現場工作提供有效可靠的風險預控措施。

4.結語

安全生產風險管理體系是南方電網公司在安全生產管理方面的創新,也是落實南網方略的具體體現。作業風險評估工作是四大風險評估工作之一，對變電運行專業現場風險預控有非常重要的意義。變電專業的作業風險評估已經開展了一段時間，雖然取得了一定的成果但仍存在有發展的空間。這主要是指如何將作業風險評估結果更有效指導現場作業，從而達到現場作業風險可控的目的。在這個問題上我們仍然需要在實踐中繼續探索。這需要基層變電專業堅持持續改進的原則，為深入踐行安全生產風險管理體系繼續向前。　[科]

篇4

關鍵詞：風險評估；動態性；信息安全管理；脆弱性；威脅

中圖分類號：TP311 文獻標識碼：A 文章編號：1007—9599 （2012） 14—0000—02

一、引言

隨著信息化的快速發展，信息系統在各行業領域發揮越來越大的作用，但隨之而來的安全問題卻成為制約信息化快速健康發展的短板。如今各類網絡攻擊事件不逐年增多，雖然通過部署一系列安全設備，如防火墻、防毒墻、IDS、IPS以及其他諸如上網行為管理軟件等等，以期增加安全防護水平，然而通常由于信息主管部門人員力量有限，安全設備形成的大量數據信息，無法在第一時間對潛在的危險進行有效收集、分析和處理，以致無法快速進行系統地評估，掌控全局安全狀態。

及時的全局信息系統風險管理是對系統安全現狀進行管控的一種有效措施，其遵循PDCA循環模式管理，即P（Plan：計劃）、D（Do：執行）、C（Check：檢查）和A（Action：行動）。其最早由美國質量管理專家戴明提出來，旨在通過不斷循環，對系統進行檢測、加固，使安全防范水平得到進一步提高。它是一種動態的檢測機制，其精髓就是對系統進行有效的風險評估，反觀現今常采用的評估方法，多為靜態模式，其結果只限于指定時間點的風險值，存在滯后性，無法反映二個連續檢測點風險值變化情況。如假使以期通過PDCA模式提高安全性，選擇動態模式的風險評估成為必然。

二、風險評估理念

日常安全風險產生的原因主要為威脅因素利用資產脆弱性，對系統產生危害，表現方式主要有可能導致系統非正常運行，數據的完整性、可用性、保密性受到侵害。風險評估是管理風險的重要手段，在標準ISO/IEC17799中對于風險評估作了如下定義：信息及信息處理設備的威脅、影響和弱點以及三者發生的可能性的評估。其內在因素之間關系如圖1—1所示：

三、動態風險評估

（一）系統結構

動態風險評估架構由五部分組成，包括安全檢測模塊、信息管理模塊、事件資源庫模塊、規則資源庫模塊以及風險評估模塊。安全檢測模塊主要通過安全檢測設備實時監控系統中隱藏的威脅信息并發出告警信息，信息管理模塊主要負責接收告警信息并輸出為統一格式，事件資源庫模塊收集威脅評估、資產脆弱性評估結果，規則資源庫用于存儲風險評估計算方式（公式），風險評估模塊通過整合信息管理模塊的輸出值，依據規則資源庫的風險評估計算方式計算系統的風險值。其結構圖如1—2所示：

（二）評估方法

1.資產評估

資產評估包括資產識別和價值評估兩部分。資產識別即首先識別有價值的資產，列入評估清單，形式有物理資產、信息資產、人員、服務、組織的聲譽等，這里以網絡設備、服務器操作系統、數據庫所含信息為主。數據信息的保護即為維持其完整性、可用性和保密性，通過收集、分析網絡中相關計算機運行屬性，以及在整個系統運行過程中的作用和被攻擊后需要修復所產生的費用等，確定資產價值。

2.脆弱性分析

脆弱性是指系統存在的安全薄弱環節，容易被威脅利用并造成損失，其主要可以分為管理脆弱性和技術脆弱性。這里討論以技術脆弱性為主，主要為信息系統、網絡設備、服務器設備中存在的可能導致未授權操作的脆弱性節點，該類脆弱性通常可以使用脆弱性掃描工具、漏洞掃描系統、安全審計工具等方式獲得。

3.威脅分析

威脅主要為損害資產完整性、保密性、可用性的行為，通過安全檢測模塊如防火墻、防毒墻、IDS以及其他安全防護設備告警、觸發形成，經常表現為一種未預期的突發事件。

威脅分析首先需要列出可能存在的所有可能導致資產損害的因素，如物理因素、系統因素、人為因素等，其次執行威脅發生可能性概率分析和潛在損失分析，根據分析結果，定量計算出威脅值并作標識，進一步形成應對策略。

4.計算資產的動態風險

資產的風險隨著安全設備檢測出不同安全事件而有不同的變化，其標識信息包括：安全設備編碼、威脅的類型、源地址、目的地址、源端口、目的端口以及威脅發生的時間等，此外，每個安全設備報警的準確率也是可以確定的。

如果組織網絡中主機的資產價值用Ai表示，在某個時刻各主機的風險值為Ri，則此時網絡整體風險值R為：R= 。當某個安全設備產生一個報警事件時，首先根據其報警信息中的目的地址查看目的主機的威脅列表中是否存在此威脅，如果威脅存在，則讀出目的主機的資產價值Ai、該威脅可能對資產造成影響的權重WTi以及報警前目的主機的風險值Ri，并根據該威脅的源地址得到威脅主體的動機指數Mi和能力值Ci。若用P表示報警設備的準確率，T表示威脅值，則該威脅產生的風險值r可以通過以下公式計算：r=Ai×T×P，T=Mi×Ci×WTi。假定單個威脅產生的風險的閾值是v，網絡中主機的風險閾值為VH，整個網絡的風險閾值為VN，對于某個報警事件產生的風險值r，首先將其與v進行比較，如果r≥v，根據威脅分析階段所確定的相應對策對該威脅進行響應。如果r

四、總結

風險評估當前已成為加固信息系統安全的重要步驟之一，隨著信息安全管理體系理念的推廣，其影響范圍越來越大，也越來越獲得重視。而實施動態的評估預警機制則更充分有效地發揮了風險評估的作用，對于實際生產和安全管控有十分重要的意義。

參考文獻：

[1]GB/T20984信息安全技術 信息安全風險評估規范，2007

[2]GB/T19715.1——2005信息技術信息技術安全管理指南第1部分：信息技術安全概念和模型（150/IECTR13335—1：1996，IDT）

[3]王蓮芬，許樹柏.層次分析法引論[M].北京：中國人民大學出版社，1990

[4]馮登國，張陽，張玉清.信息安全風險評估綜述[J].通信學報，2004，25，7：10—18

篇5

關鍵詞：網絡審計　歷史財務報表審計　信息安全管理　風險評估

一、引言

從審計的角度，風險評估是現代風險導向審計的核心理念。無論是在歷史財務報表審計還是在網絡審計中，現代風險導向審計均要求審計師在執行審計工作過程中應以風險評估為中心，通過對被審計單位及其環境的了解，評估確定被審計單位的高風險領域，從而確定審計的范圍和重點，進一步決定如何收集、收集多少和收集何種性質的證據，以便更有效地控制和提高審計效果及審計效率。從企業管理的角度，企業風險管理將風險評估作為其基本的要素之一進行規范，要求企業在識別和評估風險可能對企業產生影響的基礎上，采取積極的措施來控制風險，降低風險為企業帶來損失的概率或縮小損失程度來達到控制目的。信息安全風險評估作為企業風險管理的一部分，是企業信息安全管理的基礎和關鍵環節。盡管如此，風險評估在網絡審計、歷史財務報表審計和企業信息安全管理等工作中的運用卻不盡相同，本文在分析計算機信息系統環境下所有特定風險和網絡審計風險基本要素的基礎上，從風險評估中應關注的風險范圍、風險評估的目的、內容、程序及實施流程等內容展開，將網絡審計與歷史財務報表審計和信息安全管理的風險評估進行對比分析，以期深化對網絡審計風險評估的理解。

二、網絡審計與歷史財務報表審計的風險評估比較

(一)審計風險要素根據美國注冊會計師協會的第47號審計標準說明中的審計風險模型，審計風險又由固有風險、控制風險和檢查風險構成。其中，固有風險是指不考慮被審計單位相關的內部控制政策或程序的情況下，其財務報表某項認定產生重大錯報的可能性；控制風險是被審計單位內部控制未能及時防止或發現財務報表上某項錯報或漏報的可能性；檢查風險是審計人員通過預定的審計程序未能發現被審計單位財務報表上存在重大錯報或漏報的可能性。在網絡審計中，審計風險仍然包括固有風險、控制風險和檢查風險要素，但其具體內容直接受計算機網絡環境下信息系統特定風險的影響。計算機及網絡技術的應用能提高企業經營活動的效率，為企業的經營管理帶來很大的優越性，但同時也為企業帶來了一些新的風險。這些新的風險主要表現為：(1)數據與職責過于集中化。由于手工系統中的職責分工、互相牽制等控制措施都被歸并到計算機系統自動處理過程中去了，這些集中的數據庫技術無疑會增加數據縱和破壞的風險。(2)系統程序易于被非法調用甚至遭到篡改。由于計算機系統有較高的技術要求，非專業人員難以察覺計算機舞弊的線索，這加大了數據被非法使用的可能性。如經過批準的系統使用人員濫用系統，或者說，企業對接近信息缺乏控制使得重要的數據或程序被盜竊等。(3)錯誤程序的風險，例如程序中的差錯反復和差錯級聯、數據處理不合邏輯、甚至是程序本身存在錯誤等。(4)信息系統缺乏應用的審計接口，使得審計人員在審計工作中難以有效地采集或獲取企業信息系統中的數據，從而無法正常開展審計工作。(5)網絡系統在技術和商業上的風險，如計算機信息系統所依賴的硬件設備可能出現一些不可預料的故障，或者信息系統所依賴的物理工作環境可能對整個信息系統的運行效能帶來影響等。相對應地，網絡審計的固有風險主要是指系統環境風險，即財務電算化系統本身所處的環境引起的風險，它可分為硬件環境風險和軟件環境風險。控制風險包括系統控制風險和財務數據風險，其中，系統控制風險是指會計電算化系統的內部控制不嚴密造成的風險，財務數據風險是指電磁性財務數據被篡改的可能性。檢查風險包括審計軟件風險和人員操作風險，審計軟件風險是指計算機審計軟件本身缺陷原因造成的風險，人員操作風險是指計算機審計系統的操作人員、技術人員和開發人員等在工作中由于主觀或客觀原因造成的風險。

(二)風險評估目的無論在網絡審計還是歷史財務報表審計中，風險評估只是審計的一項重要程序，貫穿于審計的整個過程。與其他審計程序緊密聯系而不是一項獨立的活動。盡管如此，兩者所關注的風險范圍則有所不同。歷史財務報表審計的風險評估要求審計人員主要關注的是被審計單位的重大錯報風險――財務報表在審計前存在重大錯報的可能性。由于網絡審計的審計對象包括被審計單位基于網絡的財務信息和網絡財務信息系統兩類，因此審計人員關注的風險應是被審計單位經營過程中與該兩類審計對象相關的風險。(1)對于與企業網絡財務信息系統相關的風險，審計人員應該從信息系統生命周期的各個階段和信息系統的各組成部分及運行環境兩方面出發進行評估。信息系統生命周期是指該信息系統從產生到完成乃至進入維護的各個階段及其活動，無論是在早期的線性開發模型中還是在更為復雜的螺旋式等模型中，一個信息系統的生命周期大都包括規劃和啟動、設計開發或采購、集成實現、運行和維護、廢棄等五個基本階段。由于信息系統在不同階段的活動內容不同，企業在不同階段的控制目標和控制行為也會有所不同，因此，審計人員的風險評估應該貫穿于信息系統的整個生命周期。信息系統的組成部分是指構成該信息系統的硬件、軟件及數據等，信息系統的運行環境是指信息系統正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面：物理層，即信息系統運行所必備的機房、設備、辦公場所、系統線路及相關環境；網絡層，即信息系統所需的網絡架構的安全情況、網絡設備的漏洞情況、網絡設備配置的缺陷情況等；系統層，即信息系統本身的漏洞情況、配置的缺陷情況；應用層，即信息系統所使用的應用軟件的漏洞情況、安全功能缺陷情況；管理層，即被審計單位在該信息系統的運行使用過程中的組織、策略、技術管理等方面的情況。(2)對于與企業基于網絡的財務信息相關的風險，審計人員應著重關注財務信息的重大錯報風險和信息的安全風險。重大錯報風險主要指被審計單位基于網絡的相關財務信息存在重大錯報的可能性，它是針對企業借助于網絡信息系統或網絡技術對有關賬戶、交易或事項進行確認、計量或披露而言。網絡審計中關注的重大錯報風險與傳統審CtT的內涵基本上是一致的，審計人員在審計時應當考慮被審計單位的行業狀況、經營性質、法律及監管環境、會計政策和會計方法的選用、財務業績的衡量和評價等方面的情況對財務信息錯報可能的影響。信息安全風險涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風險，主要針對企業利用信息系統或一定的網絡平臺來存儲、傳輸、披露相關財務信息而言。在審計過程中，審eta員應當主要關注相關財務信息被盜用、非法攻擊或篡改及非法使用的可能性。當然，這兩類風險并非完全分離的，評估時審計人員應將兩者結合起來考慮。

(三)風險評估內容　廣泛意義的風險評估是指考慮潛在事件對目標實現的影響程度。由于網絡審計與歷史財務報表審計風險評估的目的并不完全相同，因此兩者在風險評估的內容上也是存在區別的。總的來說，網絡審計的風險評估內容比歷史財務報表審計的風險評估內容更廣泛和深入。根據《中國注冊會計師審計準則第1211號――了解被審計單位及其環境并評估重大錯報風

險》，在歷史財務報表審計中，審計人員的風險評估應以了解被審計單位及其環境為內容。為識別和評價重大錯報風險，審計人員了解的具體內容包括被審計單位所在行業狀況、法律環境與監管環境以及其他外部因素、被審計單位的性質、被審計單位對會計政策的選擇和運用、被審計單位的目標、戰略以及相關經營風險、被審計單位財務業績的衡量和評價及被審it@位的內部控制等。在網絡審計中。為了識別和評估上文所述的兩類風險，審計人員除了從以上方面了解被審計單位及其環境外，還應該關注其他相關的潛在事件及其影響，尤其是企業的財務信息系統及基于網絡的財務信息可能面l臨的威脅或存在的脆弱點。其中，威脅是指對信息系統及財務信息構成潛在破壞的可能性因素或者事件，它可能是一些如工作人員缺乏責任心、專業技能不足或惡意篡改等人為因素，也可能是一些如灰塵、火災或通訊線路故障等環境因素。脆弱點是指信息系統及基于網絡的財務信息所存在的薄弱環節，它是系統或網絡財務信息本身固有的，包括物理環境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點。一般來說，脆弱點本身不會帶來損失或信息錯報，威脅卻總是要利用網絡、系統的弱點來成功地引起破壞。因此，我們認為網絡審計申風險評估的內容應包括以下幾方面：(1)識別被審計單位財務信息系統及其基于網絡的財務信息可能面臨的威脅，并分析威脅發生的可能性；(2)識別被審計單位財務信息系統及其基于網絡的財務信息可能存在的脆弱點，并分析脆弱點的嚴重程度；(3)根據威脅發生的可能性和脆弱點發生的嚴重程度，判斷風險發生的可能性；(4)根據風險發生的可能性，評價風險對財務信息系統和基于網絡的財務信息可能帶來的影響；(5)若被審計單位存在風險防范或化解措施，審計人員在進行風險評估時還應該考慮相應措施的可行性及有效性。

(四)風險評估程序《中國注冊會計師審計準則第1211-----了解被審計單位及其環境并評估重大錯報風險》中要求，審計人員應當實施詢問、分析程序、觀察和檢查等程序，以獲取被審計單位的信息，進而評估被審計單位的重大錯報風險。這些程序同樣適用于網絡審計中的風險評估。但在具體運用時網絡審計中更加注重了解和分析被審計單位與信息系統及網絡技術使用相關的事項。在實施詢問程序時，審計人員的詢問對象圍繞信息系統和基于網絡的財務信息可大致分為管理人員、系統開發和維護人員(或信息編制人員)、系統使用人員(或信息的內部使用人員)、系統或網絡技術顧問及其他外部相關人員(如律師)等五類，分別從不同角度了解信息系統和基于網絡的財務信息可能存在的威脅和脆弱點。在實施分析程序時，除了研究財務數據及與財務信息相關的非財務數據可能的異常趨勢外，審計人員應格外關注對信息系統及網絡的特性情況，被審計單位對信息系統的使用情況等內容的分析比較。實施觀察和檢查時，除執行常規程序外，審計人員應注意觀察信息系統的操作使用和檢查信息系統文檔。除此之外，針對特定系統或網絡技術風險的評估，審計人員還需要實施一些特定的程序。技術方面如IOS取樣分析、滲透測試、工具掃描、安全策略分析等；管理方面如風險問卷調查、風險顧問訪談、風險策略分析、文檔審核等。其中，IDS取樣分析是指通過在核心網絡采樣監聽通信數據方式，獲取網絡中存在的攻擊和蠕蟲行為，并對通信流量進行分析；滲透測試是指在獲取用戶授權后，通過真實模擬黑客使用的工具、方法來進行實際漏洞發現和利用的安全測試方法；工具掃描是指通過評估工具軟件或專用安全評估系統自動獲取評估對象的脆弱性信息，包括主機掃描、網絡掃描、數據庫掃描等，用于分析系統、應用、網絡設備存在的常見漏洞。風險問卷調查與風險顧問訪談要求審計人員分別采用問卷和面談的方式向有關主體了解被審計單位的風險狀況，使用時關鍵是要明確問卷或訪談的對象情況風險策略分析要求審計人員對企業所設定的風險管理和應對策略的有效性進行分析，進而評價企業相關風險發生的概率以及可能帶來的損失；文檔審核是一種事前評價方法，屬于前置軟件測試的一部分，主要包括需求文檔測試和設計文檔測試。這些特定程序主要是針對被審計單位信息系統和基于網絡的財務信息在網絡安全風險方面進行評價，審計人員在具體使用時應結合被審計單位的業務性質選擇合適的程序。

三、網絡審計與信息安全管理的風險評估比較

(一)風險評估的目的信息安全管理中的風險評估(即信息安全風險評估)是指根據國家有關信息安全技術標準，對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程。作為信息安全保障體系建立過程中的重要的評價方法和決策機制，信息安全風險評估是企業管理的組成部分，它具有規劃、組織、協調和控制等管理的基本特征，其主要目的在于從企業內部風險管理的角度，在系統分析和評估風險發生的可能性及帶來的損失的基礎上，提出有針對性的防護和整改措施，將企業面臨或遭遇的風險控制在可接受水平，最大限度地保證組織的信息安全。而網絡審計是由獨立審計人員向企業提供的一項鑒證服務，其風險評估的目的在于識別和評價潛在事件對被審計單位基于網絡的財務信息的合法性、公允性以及網絡財務信息系統的合規性、可靠性和有效性的影響程度，從而指導進一步審計程序。因此，兩者風險評估的目的是不一樣。從評估所應關注的風險范圍來看，兩者具有一致性，即都需要考慮與信息系統和信息相關的風險。但是，具體的關注邊界則是不一樣的。信息安全風險評估要評估企業資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響，它要求評估人員關注與企業整個信息系統和所有的信息相關的風險，包括實體安全風險、數據安全風險、軟件安全風險、運行安全風險等。網絡審計中，審計人員是對被審計單位的網絡財務信息系統和基于網絡的財務信息發表意見，因此，風險評估時審計人員主要關注的是與企業財務信息系統和基于網絡的財務信息相關的風險，而不是與企業的整個信息系統和所有的信息相關的風險。根據評估實施者的不同，信息安全風險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統進行的風險評估活動；他評估通常是由組織的上級主管機關或業務主管機關發起的，旨在依據已經頒布的法規或標準進行的具有強制意味的檢查。自評估和他評估都可以通過風險評估服務機構進行咨詢、服務、培訓以及風險評估有關工具的提供。因此。對審計人員而言，受托執行的信息安全風險評估應當歸屬于管理咨詢類，即屬于非鑒證業務，與網絡審計嚴格區分開來。

(二)風險評估的內容在我國國家質量監督檢驗檢疫總局的《信息安全風險評估指南》(征求意見稿)國家標準中，它將信息安全風險評估的內容分為兩部分：基本要素和相關屬性，提出信息安全風險評估應圍繞其基本要素展開，并充分考慮與這些基本要素相關的其他屬性。其中，風險評估的基本要素包括資產、脆弱性、威脅、風險和安全措施；相關屬性包括業務戰略、資產價值、安全需求、安全事件、殘余風險等。在此基礎上的風險計算過程是：(1)對信息資產進行識別，并對資產賦值；(2)對威脅進行分析，并對威

脅發生的可能性賦值；(3)識別信息資產的脆弱性，并對弱點的嚴重程度賦值；(4)根據威脅和脆弱性計算安全事件發生的可能性；(5)根據脆弱性的嚴重程度及安全事件所作用的資產的價值計算安全事件造成的損失；(6)根據安全事件發生的可能性以及安全事件出現后的損失，計算安全事件一旦發生對組織的影響，即風險值。結合上文網絡審計風險評估五個方面的內容可以看出，網絡審計和信息安全風險評估在內容上有相近之處，即都需要針對信息系統和信息可能面臨的威脅和存在的脆弱點進行識別。但是，信息安全管理作為企業的一項內部管理，其風險評估工作需要從兩個層次展開：一是評估風險發生的可能性及其影響；二是提出防護或整改措施以控制風險。第一個層次的工作實質上是為第二層次工作服務的，其重點在第二層次。《信息安全風險評估指南》(征求意見稿)提出，企業在確定出風險水平后，應對不可接受的風險選擇適當的處理方式及控制措施，并形成風險處理計劃。其中，風險處理的方式包括回避風險、降低風險、轉移風險、接受風險，而控制措施的選擇應兼顧管理和技術，考慮企業發展戰略、企業文化、人員素質，并特別關注成本與風險的平衡。網絡審計的風險評估工作主要集中在第一個層次，即審計人員通過風險評估，為進一步審計中做出合理的職業判斷、有效地實施網絡審計程序和實現網絡審計目標提供重要基礎。因此，兩者的評估內容是存在區別的。

篇6

關鍵詞 企業網 信息系統 風險評估

中圖分類號：TP393.08 文獻標識碼：A

一、引言

信息技術在商業上的廣泛應用，使得企業對信息系統的依賴性增大。信息系統風險評估是辨別各種系統的脆弱性及其對系統構成威脅，識別系統中存在的風險，并將這些風險進行定性，定量的分析，最后制定控制和變更措施的過程 。通過安全評估能夠明確企業信息系統的安全威脅，了解企業信息系統的脆弱性，并分析可能由此造成的損失或影響，為滿足企業信息安全需求和降低風險提供必要的依據。

二、安全風險評估的關鍵要素

信息系統安全風險評估的三個關鍵要素是信息資產、威脅、弱點（即脆弱性）。每個要素都有各自的屬性，信息資產的屬性是資產價值。威脅的屬性是威脅發生的可能性，弱點的屬性是弱點被威脅利用后對資產帶來的影響的嚴重程度。

對企業信息系統的本身條件和歷史數據進行整理分析，得到威脅，脆弱點分析如下：

實物資產的脆弱性：對電腦等辦公物品的保護措施不力，辦公場所防范災害措施不力，電纜松動，通訊線路保護缺失。

信息資產的脆弱性：相關技術文檔不全，信息傳輸保護缺失，撥號線路網絡訪問受限，單點故障，網絡管理不力，不受控制的拷貝。

軟件資產的脆弱性：未使用正版穩定軟件。

人員的脆弱性：對外來人員監管不力，安全技術培訓不力，授權使用控制不力，內部員工的道德培訓不力。

三、風險評估過程

風險評估是信息系統安全保障的核心和關鍵。風險評估過程分為風險識別、風險分析和風險管理。

風險識別是分析系統，找出系統的薄弱點和在運行過程中可能存在的風險。為了保證風險分析的的及時性和有效性，管理層面應該有具備豐富風險知識的部門經理、IT人員、關鍵用戶、審計人員和專家顧問，他們能夠幫助快速地指出關鍵風險。

風險分析是對已識別的風險進行分析，確定各個風險可能造成的影響和損失，并按照其造成的影響和損失大小進行排序，得到風險的級別。風險分析有助于企業就安全項目和構成該項目的安全組成部分編制正確的預算，有助于將安全項目的目標與企業的業務目標和要求結合起來。

風險管理是由以上步驟得到的結果，制定相應的保護措施。通過實施在評估階段創建的各種計劃，并用這些計劃來創建新的安全策略，在完成補救措施策略的開發和相關系統管理的更改，并且確定其有效性的策略和過程已經寫好之后，即進行安全風險補救措施測試。在測試過程中，將按照安全風險的控制效果來評估對策的有效性。

四、評估系統的設計

（一）評估系統的體系結構和運行環境。

該評估系統主要采用B/S/S三層體系結構，即包括客戶端、應用服務器、數據庫服務器三部分。其結構示意圖如圖1所示：其中，客戶端通過Web瀏覽器訪問應用服務器，在Web頁面的引導下指導用戶與評估人員進行風險識別、數據收集，并顯示最后的評估結果。同時豐富的在線幫助信息又為用戶及評估人員參與風險評估以及管理員進行系統維護提供了很好的在線支持，系統管理員也可以利用任意一臺客戶端登錄管理帳號對系統數據庫進行權限范圍內的維護。管理者需了解部門、員工及資產總體情況，明確風險種類及大小，并以知識庫的形式，為如何處置風險提供了一些解決方案。面向評估人員的功能模塊，展示了本部門目前面臨的威脅和薄弱點情況，幫助評估人員明確風險。相比而言，該模塊更主要的功能，是協助上報本部門的人員及資產信息，以滿足評估需要。

圖1 評估系統體系結構

應用服務器處理收集到的風險信息，并采取多種手段，利用綜合評估算法 ，完成信息系統安全風險評估，并實時將執行結果返回給客戶端Web瀏覽器。應用服務器配置了系統運行所需要的Web服務器程序以及Web站點頁面文件，我們選擇動態網頁編程技術對系統的Web站點頁面文件進行編碼和開發。數據庫服務器上配置了系統運行所需要的SQL Server數據庫管理程序以及系統數據庫資源，通過Web服務器與客戶端實現實時數據交互。

（二）工作流程設計

首先，對信息系統進行風險數據采集，用戶填寫由評估單位制定的評估申請，將信息系統按具體情況進行分類，同時利用漏洞掃描器、正反向工具從技術角度了解系統的安全配置和運行的應用服務，使得評估人員從整體上了解該信息系統及其評估重點，并針對系統業務特點進行裁剪；接下來，在前面所做的工作的基礎上，圍繞著系統所承載的業務對數據進行資產、威脅、脆弱性分析；最后，依據發生的可能性及對系統業務造成的影響對識別的風險進行分類，利用定性和定量的評估算法以及消除主觀性的各種算法，對風險識別中獲得的風險信息進行風險綜合評估，并在整體和局部、管理和技術風險評估的基礎上，生成評估報告。

（三）數據庫設計

該系統的數據庫由企業信息庫、知識庫、評估標準庫和評估方法庫組成，采用SQL Server數據庫管理系統作為該數據庫的開發和運行平臺，其中：企業信息庫存儲的是有關企業信息系統的基本信息；評估方法庫存儲了針對所設計的評估結構所采用的評估方法集合；知識庫存儲的是以往已評估系統的完整評估資料，可以為當前的風險評估提供可借鑒的經驗；在數據庫設計中評估標準庫是幾個庫中最重要也是工作量最大的部分，該庫涵蓋了各評估標準的評估要素，即遵從標準，又針對各行業的業務特點，提供了靈活的數據結構。

（四）網站內容風險算法。

對風險進行計算，需要確定影響的風險要素、要素之間的組合方式、以及具體的計算方法。將風險要素按照組合方式使用具體的計算方法進行計算，得到風險值。目前通用的風險評估中風險值計算涉及的風險要素一般為資產、威脅、和脆弱性。由威脅和脆弱性確定安全事件發生的可能性，由資產和脆弱性確定安全事件的損失；由安全事件發生的可能性和安全事件的損失確定風險值。目前，常用的計算方法是矩陣法和相乘法。

五、總結

網絡技術的發展在加速信息交流與共享的同時，也加大了網絡信息安全事故發生的可能性。對企業信息系統進行風險評估，可以了解其安全風險，評估這些風險可能帶來的安全威脅與影響程度，為安全策略的確定、信息系統的建立及安全運行提供依據，給用戶提供信息技術產品和系統可靠性的信心，增強產品、企業的競爭力。

（作者：武漢職業技術學院計算機系教師，碩士，研究方向：計算機網絡及其應用、信息安全）

注釋：

篇7

1.1風險評估原則

1）在評估時應當對評估對象充分了解，評估標準也要與其適用的范圍符合。也就是說，在風險評估時，我們需要根據具體問題具體分析，根據對象采取適當的方式對其進行處理。

2）評估的方式與標準一定要根據現實情況不斷更新，科技與產品的發展極為迅速，如果采用落后的評估方式與評估標準，會使得結果不如人意。特別是雷電電磁脈沖（LEMP）的危害逐漸占據主導地位時，通信、電子和網絡等行業的發展給雷電災害風險評估提出了很多需要解決的問題。

3）在評估是一定要對評估結構與評估標準進行仔細的斟酌與探討，因為這是影響風險評估的兩個重要因素。

4）在評估雷電災害風險時，應當注重評估風險，而不是注重其來源。雷電災害的來源比較難評估，不如評估損失實用。也要注意不要重復計算，或者在計算時有所遺漏。

5）對于不同的評估主體來說，風險評估往往需要考慮的因素很多，所以標準并不是唯一的，因此我們應當重點對評估主體的風險進行評估。

1.2雷電風險評估方法

在評估雷電災害時，如果評估方式運用不恰當，會對風險評估的每個環節造成影響，最終使結果與實際發生偏差。因此，在評估前應當對系統有一個完整的了解，然后采取恰當的方式進行風險評估。我們可以將風險評估的方式劃分為三大類，分別為定量風險評估，定性風險評估，還有綜合風險評估。IEC62305評估程序便是以定量風險評估為基礎方法的程序，這個程序會針對評估對象的所有潛在風險因子進行分析，計算出準確的風險分量，然后對比我們可以承受的風險值，在精確比對后來確認評估對象是否需要實行雷電防護，如若其需要保護，程序也會計算出其需要的雷電保護等級。防雷工程對于建筑施工是極為重要的，現代化的建筑設施應當重視雷電災害風險評估，在工程設計和施工前期就應當做好防雷工程設計。這樣可以將過去針對建筑物的全面雷電保護方式徹底淘汰，對建筑物采取雷電保護的設計與建造，將薄弱部分保護，讓雷電防護更加完善實用，是精細化雷電保護的主要目的。

2地理與氣候

日喀則江孜縣，位于自治區南部，地處岡底斯山與喜馬拉雅山之間，地勢南北高，中西部低，距拉薩南約230公里處，距日喀則東約100多公里處，平均海拔4000米左右，全縣總面積3800平方公里，年楚河兩岸為峽谷地帶，最高海拔為7191米，江孜縣境內有年楚河經過，年楚河由日喀則地區康馬涅如藏布江和江孜龍馬河匯聚而成，流經康馬等4縣后匯入雅魯藏布江。從地理上看很重要，和拉薩、日喀則形成三足鼎立，是通往亞東、印度大吉嶺的交通樞紐，從氣候上看，屬高原季風半干旱氣候。江孜縣干濕季節分明，夏季雨水充沛集中，溫暖濕潤，冬季干冷，日照充足，太陽輻射強烈，日溫差大而年溫差小，無霜期短。年日照時數3189.8小時，年無霜期110天左右，年降水量291.1毫米，年平均氣溫4.7℃，雨熱同季，光溫配合好，便于種植。自然災害主要有雷暴、干旱、山洪、風、霜、冰雹等。據全國雷暴日統計表可知，年平均雷暴日78.8[天/年]屬于強雷暴區。由于此縣每年都會發生因雷擊而造成人員傷亡、火災、停電、信息系統毀壞等事故，嚴重威脅著江孜縣公共安全和人民生命財產安全，因此，加強防雷減災安全工作顯得更為緊迫和重要。

3現場勘測

3.1建筑物概況

自治區日喀則地區江孜縣行政樓始建于2000年，建筑面積184平方米，大樓長24米，寬8米，高10米，分上中下三層，是混凝土結構，行政樓的東面為農田，南北是民房和商鋪且都是二層左右，西面為馬路，大樓在曠野中成孤立的，僵住屋里面均有辦公區，計算機中心，檔案館，一樓兩邊為計算中心和檔案館，機房地板為油布，內設20幾臺電腦，電話線與電力線均無安裝SPD，電力線有空氣開關，機房無屏蔽措施，檔案館無消防工具，人流量少，內部有電力線和電話線同樣沒有安裝SPD，二、三樓為辦公區相對人員較多，辦公所配有的電腦沒有特定的防護措施，行政樓入口處與草坪下雨天無久停留人員，前面種種不足情況已經嚴重威脅到工作人員的安全和財產損失，為了用最少資金達到最好的效果將雷擊損失降到合理范圍因此做了此次風險評估，縣行政樓是縣政府綜合管理全縣經濟建設和社會發展事業，主管縣政府日常政務工作，實施行政指揮、監督，公共服務和綜合協調的職能部門，是整個縣政治、經濟、社會發展的中心。因此建立政府樓，并對它進行雷擊防護是很有必要的。

3.2建筑物內部裝置

建筑物防雷裝置情況：

3.2.1防直擊雷裝置

建筑物設計有完善的防直擊雷裝置，并利用建筑物框架結構柱筋做引下線，接地電阻小于等于4.0Ω

3.2.2電源線路布置

供電系統為：TN-C-S，電源線纜設計由300米外變壓器架空接入樓內。

3.2.3信號線路布置

信號線設計200米埋地進入，所有進入機房的信號線在入戶處沒有安裝信號避雷器。

4結論

篇8

【 關鍵詞 】 煙草；工業控制系統；信息安全；風險評估；脆弱性測試

1 引言

隨著工業化和信息化進程的加快，越來越多的計算機技術以及網絡通信技術應用到煙草自動化生產過程中。在這些技術提高了企業管理水平和生產效率的同時，也帶來了病毒和惡意代碼、信息泄露和篡改等網絡信息安全問題。當前，煙草企業所建成的綜合自動化系統基本可以分為三層結構：上層為企業資源計劃（ERP）系統；中間層為制造執行系統（MES）；底層為工業控制系統。對于以ERP為核心的企業管理系統，信息安全防護相對已經成熟，煙草企業普遍采用了防火墻、網閘、防病毒、防入侵等防護措施。而隨著MES技術在煙草企業的廣泛實施，越來越多企業開始考慮在底層的工業控制系統進行信息安全防護工作。近年來，全球工業控制系統經歷了“震網”、“Duqu”、“火焰”等病毒的攻擊，這些安全事件表明，一直以來被認為相對封閉、專業和安全的工業控制系統已經成為了黑客或不法組織的攻擊目標。對于煙草企業的工業控制系統，同樣也面臨著信息安全問題。

與傳統IT系統一樣，在工業控制系統的信息安全問題研究中，風險評估是其重要基礎。在工業控制系統信息安全風險評估方面，國外起步較早，已經建立了ISA/IEC 62443、NIST800-82等一系列國際標準和指南；而國內也相繼了推薦性標準GB/T 26333-2010：工業控制網絡安全風險評估規范和GB/T30976.1～.2-2014：工業控制系統信息安全（2個部分）等。當前，相關學者也在這方面進行了一系列研究，但國內外還沒有一套公認的針對工業控制系統信息安全風險評估方法，而且在煙草行業的應用實例也很少。

本文基于相關標準，以制絲線控制系統為對象進行了信息安全風險評估方法研究，并實際應用在某卷煙廠制絲集控系統中，為后續的安全防護工作打下了基礎，也為煙草工業控制系統風險評估工作提供了借鑒。

2 煙草工業控制系統

煙草工業企業生產網中的工控系統大致分成四種類型：制絲集控、卷包數采、高架物流、動力能源，這四個流程，雖工藝不同，相對獨立，但它們的基本原理大體一致，采用的工具和方法大致相同。制絲集控系統在行業內是一種典型的工業控制系統，它的信息安全情況在一定程度上體現了行業內工業控制系統的信息安全狀態。

制絲集控系統主要分為三層：設備控制層、集中監控層和生產管理層。設備控制層有工業以太網連接控制主站以及現場I/O站。集中監控層網絡采用光纖環形拓撲結構，將工藝控制段的可編程控制器（PLC）以及其他相關設備控制段的PLC接入主干網絡中，其中工藝控制段包括葉片處理段、葉絲處理段、梗處理段、摻配加香段等，然后與監控計算器、I/O服務器、工程師站和實時數據庫服務器等共同組成了集中監控層。生產管理層網絡連接了生產現場的交換機，與管理計算機、管理服務器等共同組成了生產管理層。

制絲車間的生產采用兩班倒的方式運行，對生產運行的實時性、穩定性要求非常嚴格；如直接針對實際系統進行在線的掃描等風險評估工作，會對制絲生產造成一定的影響，存在影響生產的風險。而以模擬仿真平臺為基礎的系統脆弱性驗證和自主可控的測評是當前制絲線控制系統信息安全評估的一種必然趨勢。

3 工控系統風險評估方法

在風險評估方法中，主要包括了資產識別、威脅評估、脆弱性評估、綜合評估四個部分，其中脆弱性測試主要以模擬仿真平臺為基礎進行自主可控的測評。

風險是指特定的威脅利用資產的一種或一組脆弱性，導致資產的丟失或損害的潛在可能性，即特定威脅事件發生的可能性與后果的結合。風險評估模型主要包含信息資產、脆弱性、威脅和風險四個要素。每個要素有各自的屬性，信息資產的屬性是資產價值，脆弱性的屬性是脆弱性被威脅利用后對資產帶來的影響的嚴重程度，威脅的屬性是威脅發生的可能性，風險的屬性是風險發生的后果。

3.1 資產識別

首先進行的是對實際生產環境中的信息資產進行識別，主要包括服務器、工作站、下位機、工業交換設備、工控系統軟件和工業協議的基本信息。其中，對于服務器和工作站，詳細調查其操作系統以及所運行的工控軟件；對于下位機，查明PLC主站和從站的詳細型號；對于交換設備，仔細查看其配置以及連接情況；對于工控系統軟件，詳細調查其品牌以及實際安裝位置；對于工業協議，則詳細列舉其通信兩端的對象。

3.2 威脅評估

威脅評估的第一步是進行威脅識別，主要的任務是是識別可能的威脅主體（威脅源）、威脅途徑和威脅方式。

威脅主體：分為人為因素和環境因素。根據威脅的動機，人為因素又可分為惡意和非惡意兩種。環境因素包括自然災害和設施故障。

威脅途徑：分為間接接觸和直接接觸，間接接觸主要有網絡訪問、指令下置等形式；直接接觸指威脅主體可以直接物理接觸到信息資產。

威脅方式：主要有傳播計算機病毒、異常數據、掃描監聽、網絡攻擊（后門、漏洞、口令、拒絕服務等）、越權或濫用、行為抵賴、濫用網絡資源、人為災害（水、火等）、人為基礎設施故障（電力、網絡等）、竊取、破壞硬件、軟件和數據等。

威脅識別工作完成之后，對資產所對應的威脅進行評估，將威脅的權值分為1-5 五個級別，等級越高威脅發生的可能性越大。威脅的權值主要是根據多年的經驗積累或類似行業客戶的歷史數據來確定。等級5標識為很高，表示該威脅出現的頻率很高（或≥1 次/周），或在大多數情況下幾乎不可避免，或可以證實經常發生過。等級1標識為很低，表示該威脅幾乎不可能發生，僅可能在非常罕見和例外的情況下發生。

3.3 脆弱性測試

脆弱性評估需從管理和技術兩方面脆弱性來進行。管理脆弱性評估方面主要是按照等級保護的安全管理要求對現有的安全管理制度的制定和執行情況進行檢查，發現了其中的管理漏洞和不足。技術方面包括物理環境、網絡環境、主機系統、中間件系統和應用系統五個層次，主要是通過遠程和本地兩種方式進行手工檢查、工具掃描等方式進行評估，以保證脆弱性評估的全面性和有效性。

傳統IT 系統的技術脆弱性評測可以直接并入到生產系統中進行掃描檢測，同時通過交換機的監聽口采集數據，進行分析。而對工控系統的脆弱性驗證和測評服務，則以實際車間工控系統為藍本，搭建一套模擬工控系統，模擬系統采用與真實系統相同或者相近的配置，最大程序反映實際工控系統的真實情況。評估出的模擬系統工控系統安全情況，經過分析與演算，可以得出真實工控系統安全現狀。

對于工控系統主要采用的技術性測試方法。

（1）模擬和數字控制邏輯測試方法。該方法針對模擬系統中的控制器系統進行測試。采用如圖1的拓撲形式，通過組態配置PLC輸出方波數字信號和階梯模擬信號，通過監測控制信號的邏輯以判別控制系統的工作狀態。

（2）抓包測試方法。該方法可以對模擬系統中的各種設備進行測試。采用圖2的拓撲形式，通過抓包方式，獲取車間現場運行的正常網絡數據包；將該數據進行模糊算法變異，產生新的測試用例，將新數據發送到測試設備上進行漏洞挖掘。該測試方法既不影響工作現場，又使得模擬系統的測試數據流與工作現場相同。

（3）橋接測試方法。該方法針對模擬系統中的工業通信協議進行測試。測試平臺接收到正常的數據包后，對該數據包進行模糊算法變異，按照特定的協議格式，由測試平臺向被測設備發送修改后的數據，進行漏洞挖掘測試。采用的拓撲形式就是圖2中去除了虛線框中的內容后的形式。

（4）點對點測試方法。該方法針對通信協議進行測試。采用與圖1相同拓撲形式，按照所面對的協議的格式，由測試平臺向被測設備發送測試用例，進行健壯性的測試。

（5）系統測試方法。該方法對裝有工控軟件的被測設備進行測試。該方法采用如圖3的拓撲形式，綜合了前幾種方式，在系統的多個控制點同時進行，模糊測試數據在不同控制點之間同時傳輸，對整個工業控制環境進行系統級的漏洞挖掘。

3.4 綜合分析

在完成資產、威脅和脆弱性的評估后，進入安全風險的評估階段。在這個過程中，得到綜合風險評估分析結果和建議。根據已得到的資產、威脅和脆弱性分析結果，可以得到風險以及相應的等級，等級越高，風險越高。

4 應用實例

本文以某卷煙廠制絲車間的制絲集控系統為例進行風險評估研究。

4.1 資產識別

首先對該制絲集控系統進行了資產的識別，得到的各類資產的基本信息。資產的簡單概述：服務器包括GR 服務器、監控實時服務器、AOS 服務器、文件服務器、管理應用服務器、管理數據庫服務器和管理實時服務器等；工作站包括工程師站、監控計算機和管理計算機；下位機包括西門子PLC S7-300、PLC S7-400 和ET200S；網絡交換設備主要以西門子交換機和思科交換機為主；工控系統軟件主要有Wonderware 系列軟件、西門子STEP7、KEPServerEnterprise等。

4.2 威脅評估

依據威脅主體、威脅途徑和威脅方式對制絲集控系統進行了威脅的識別，隨后對卷煙廠制絲集控系統的威脅分析表示，面臨的威脅來自于人員威脅和環境威脅，威脅方式主要有計算機病毒、入侵等。其中等級較高的威脅（等級≥3）其主體主要是互聯網/辦公網以及內部辦公人員威脅。

4.3 脆弱性評估

搭建的模擬系統與真實網絡層次結構相同，拓撲圖如圖4所示。

基于工控模擬環境，對設備控制層、工控協議、工控軟件、集中監控設備進行評估。

對設備控制層的控制設備通訊流程分為五條路徑進行歸類分析，即圖4中的路徑1到5，通信協議均為西門子S7協議。一方面采用模擬和數字控制邏輯測試方法以及抓包測試方法對控制器進行測試，另一方面采用橋接測試方法對S7協議進行漏洞挖掘，結果表明結果未發現重大設備硬

件漏洞。

除了S7 協議外，圖4中所標的剩余通信路徑中，路徑6為OPC協議，路徑7為ProfiNet協議，路徑8為ProfiBus協議，路徑9為Modbus TCP協議。對于這些工控協議，采用點對點測試方法進行健壯性測試，結果發現了協議采用明文傳輸、未對OPC端口進行安全防范等問題。

采用系統測試方法，對裝有工控軟件的以及集中設備進行測試，發現了工控軟件未對MAC 地址加固，無法防止中間人攻擊，賬號密碼不更新，未進行認證等數據校驗諸多問題。

然后對制絲集控系統進行的脆弱性分析發現了兩個方面的問題非常值得重視。一是工控層工作站可通過服務器連通Internet，未進行任何隔離防范，有可能帶來入侵或病毒威脅；攻擊者可直接通過工作站攻擊內網的所有服務器，這帶來的風險極大。二是工控協議存在一定威脅，后期需要采取防護措施。

4.4 綜合評估

此次對制絲集控系統的分析中，發現了一個高等級的風險：網絡中存在可以連接Internet的服務器，未對該服務器做安全防護。還有多個中等級的風險，包括網絡分域分區的策略未細化、關鍵網絡設備和業務服務器安全配置不足、設備存在緊急風險漏洞、工控協議存在安全隱患、PLC 應用固件缺乏較完善的認證校驗機制等。

4.5 防護建議

根據制絲集控系統所發現的風險和不足，可以采取幾項防護措施：對于可連到Internet的服務器，采用如堡壘機模式等安全防護措施，加強分區分域管理；對主機設備和網絡交換機加強安全策略，提高安全等級；對存在緊急風險漏洞的設備，及時打補丁；對于工控協議存在的安全隱患，控制器缺乏驗證校驗機制等風險，采用工業安全防護設備對其檢測審計與防護阻斷。

5 結束語

隨著信息化的不斷加強，煙草企業對于工業控制系統信息安全越來越重視，而風險評估可以說是信息安全工作的重要基礎。本文提出基于模擬系統和脆弱性測試的風險評估方法，采用資產識別、威脅評估、以模擬系統評測為主的脆弱性評估、綜合評估等步驟，對煙草制絲線控制系統進行信息安全風險評估。而在脆弱性測試中采用了模擬和數字控制邏輯測試、抓包測試、系統測試等多種方法，對工業控制系統技術上的脆弱性進行測試。這些步驟和方法在某卷煙廠的制絲集控系統應用中取得了良好的成果：發現了工控系統中存在的一些信息安全問題及隱患，并以此設計了工業安全防護方案，將工控網絡風險控制到可接受范圍內。

本次所做的煙草工業控制系統信息安全風險評估工作，可以為同類的煙草企業工控信息安全防護建設提供一定的借鑒。但同時，也要看到，本次的風險評估工作中對于風險等內容的定級對于經驗的依賴程度較高，不易判斷，這也是以后研究的方向之一。

參考文獻

[1] 李燕翔，胡明淮.煙草制造企業工業控制網絡安全淺析[J].中國科技博覽，2011，（34）： 531-2.

[2] 李鴻培， 忽朝儉，王曉鵬. 2014工業控制系統的安全研究與實踐[J]. 計算機安全，2014，（05）： 36-59，62.

[3] IEC 62443―2011， Industrial control network &system security standardization[S].

[4] SP 800-82―2008， Guide to industrial control systems（ICS） security[S].

[5] GB/T 26333―2011， 工業控制網絡安全風險評估規范[S].

[6] GB/T 30976.1―2011， 工業控制系統信息安全 第1部分：評估規范[S].

[7] GB/T 30976.2―2011， 工業控制系統信息安全 第2部分：驗收規范[S].

[8] 盧慧康， 陳冬青， 彭勇，王華忠.工業控制系統信息安全風險評估量化研究[J].自動化儀表， 2014 （10）： 21-5.

[9] 彭杰，劉力.工業控制系統信息安全性分析[J].自動化儀表， 2012， 33（12）： 36-9.

作者簡介：

李威（1984-），男，河南焦作人，西安交通大學，碩士，浙江中煙工業有限責任公司，工程師；主要研究方向和關注領域：信息安全與網絡管理。

湯堯平（1974-），男，浙江諸暨人，浙江中煙工業有限責任公司，工程師；主要研究方向和關注領域：煙草生產工業控制。

篇9

隨著油田信息化高速發展，大批業務系統集中部署在數據中心，信息資產呈現高度集中趨勢，給企業信息安全保障工作提出了新的要求。信息安全態勢日益嚴峻，黑客攻擊手段不斷翻新，利用“火焰”病毒、“紅色十月”病毒等實施的高級可持續攻擊活動頻現，對國家和企業的數據安全造成嚴重威脅。因此，及時掌握信息系統保護狀況，持續完善系統安全防護體系，對于保證信息資產的安全性和油田業務系統的連續性具有重要的現實意義。在信息安全領域中，安全評估是及時掌握信息系統安全狀況的有效手段。而其中的信息安全風險評估是是一種通用方法，是風險管理和控制的核心組成部分，是建立信息系統安全體系的基礎和前提，也是信息系統等級測評的有效補充和完善。因此，研究建立具有油田公司特色的信息安全風險評估模型和方法，可以為企業科學高效地開展信息安全風險評估工作提供方法指導與技術保障，從而提高油田勘探開發、油氣生產和經營管理等數據資產的安全性，為油田公司信息業務支撐平臺的正常平穩運行保駕護航。

1風險評估研究現狀

從當前的研究現狀來看，安全風險評估領域的相關研究成果主要集中在標準制定上。不同的安全評估標準包含不同的評估方法。迄今為止，業界比較認可的風險評估相關標準主要有國際標準ISO/IECTR13335IT安全管理、美國NIST標準SP800－30IT系統風險管理指南(2012年做了最新修訂)、澳大利亞－新西蘭標準風險管理AS/NZS4360等。我國也根據國際上這些標準制定了我國的風險評估標準GB/T20984－2007信息安全技術風險評估規范以及GB/Z24364－2009信息安全技術信息安全風險管理指南。

1．1IT安全管理ISO/IECTR13335

IT安全管理ISO/IECTR13335系列標準是最早的清晰描述安全風險評估理論及方法的國際標準，其主要目的是給出如何有效地實施IT安全管理的建議和指導，是當前安全風險評估與風險管理方面最權威的標準之一。ISO/IECTR13335(以下簡稱為IS013335)包括了五個部分:第一部分IT安全概念和模型(1996)主要描述了IT安全管理所用的基本概念和模型。IS013335介紹了IT安全管理中的安全要素，重點描述了:資產、威脅、脆弱性、影響、風險、防護措施、殘留風險等與安全風險評估相關的要素。它強調風險分析和風險管理是IT安全管理過程的一部分，也是必不可少的一個關鍵過程。圖1表示資產怎樣潛在經受若干威脅。［2］如圖1所示，某些安全防護措施在降低與多種威脅和/或多種脆弱性有關的風險方面可以是有效的。有時，需要幾種安全防護措施使殘留風險降低到可接受的級別。某些情況中，當認為風險是可接受時，即使存在威脅也不實施安全防護措施。在其他一些情況下，要是沒有已知的威脅利用脆弱性，可以存在這種脆弱性。圖2表示與風險管理有關的安全要素之間的關系。為清晰起見，僅表示了主要的關系。任何二個方塊之間箭頭上的標記描述了這些方塊之間的關系。第二部分管理和規劃IT安全(1997)主要提出了與IT安全管理和規劃有關的各種活動，以及組織中有關的角色和職責。［2］第三部分IT安全管理技術(1998)本部分介紹并推薦用于成功實施IT安全管理的技術，重點介紹了風險分析的四種方法:基線方法、非正式方法、詳細風險分析和綜合方法。［2］第四部分安全防護措施的選擇(2000)為在考慮商業需求和安全要素的情況下選擇安全防護措施的指南。它描述了根據安全風險和要素及部門的典型環境，選擇安全防護措施的過程，并表明如何獲得合適的保護，如何能被最基礎的安全應用支持。［2］第五部分網絡的安全防護措施(2001)為關于網絡和通信方面的IT安全管理指南，這一指南提供了根據建立網絡安全需求來考慮的通信相關因素的識別和分析。［2］

1．2風險評估實施指南

SP800－30SP800－30(風險評估實施指南，2012年9月)是由NIST制定的與風險評估相關的標準之一，它對安全風險評估的流程及方法進行了詳細的描述，提供了一套與三層風險管理框架結合的風險評估辦法，用于幫助企業更好地評價、管理與IT相關的業務面臨的風險。它包括對IT系統中風險評估模型的定義和實踐指南，提供用于選擇合適安全控制措施的信息。SP800－30:2012中的風險要素包括威脅、脆弱性、影響、可能性和先決條件。(1)威脅分析威脅源從利用脆弱性的動機和方法、意外利用脆弱性的位置和方法等方面進行分析。(2)脆弱性和先決條件考慮脆弱性時應注意脆弱性不僅僅存在于信息系統中，也可能存在于組織管理架構，可能存在于外部關系、任務/業務過程、企業/信息安全體系架構中。在分析影響或后果時，應描述威脅場景，即威脅源引起安全事件導致或帶來的損害。先決條件是組織、任務/業務過程、企業體系架構、信息系統或運行環境內存在的狀況，威脅事件一旦發起，這種狀況會影響威脅事件導致負面影響的可能性。(3)可能性風險可能性是威脅事件發起可能性評價與威脅事件導致負面影響可能性評價的組合。(4)影響分析應明確定義如何建立優先級和價值，指導識別高價值資產和給單位利益相關者帶來的潛在負面影響。(5)風險模型標準給出了風險評估各要素之間的關系的通用模型。［3］

1．3風險評估規范

GB/T20984－2007GB/T20984－2007是我國的第一個重要的風險評估標準。該標準定義了風險評估要素關系模型，并給出了風險分析過程，具體如圖3所示：風險分析中涉及資產、威脅、脆弱性三個基本要素。首先識別出威脅、脆弱性和資產，然后根據威脅出現的頻率和脆弱性的嚴重程度分析得到安全事件發生的可能性，再根據脆弱性嚴重程度和資產價值分析得到安全事件造成的損失，最后根據安全事件發生的可能性及造成的損失分析確定風險值。

2信息安全風險評估模型構建

結合某油田企業實際情況，在參考上述標準及風險分析方法風險分析的主要內容為:a)識別資產并對資產的價值進行賦值;b)識別威脅，并根據威脅出現的頻率給威脅賦值;c)識別脆弱性，并將具體資產的脆弱性賦為2個值，一個是脆弱性嚴重程度，一個是脆弱性暴露程度;d)分析脆弱性被威脅利用可能導致的安全事件;e)分析確定出安全事件發生后帶來的影響不能被單位所接受的那些安全事件;可以接受的安全事件對應的風險等級確定為低;f)針對不可接受安全事件，分析相應的威脅和脆弱性，并根據威脅以及脆弱性暴露程度，以及相關安全預防措施的效果計算安全事件發生的可能性;g)針對不可接受安全事件，根據相應脆弱性嚴重程度及資產的價值，以及相應預防措施的有效性計算安全事件造成的損失：的基礎上，總結形成油田企業風險要素關系模型如圖4所示，風險計算模型如圖5所示:h)根據不可接受安全事件發生的可能性以及安全事件發生后的損失，計算安全事件發生會對企業造成的影響，即風險值，并確定風險等級。

3模型創新點及優勢分析

信息安全風險評估方式和方法很多，如何建立適合油田企業當前安全需求的風險評估模型、評估要素賦值方法以及風險計算方法是本文要解決的技術難點和創新點。1)對于資產的賦值，從資產所支撐的業務出發，結合信息系統安全保護等級及其構成情況，提出了根據業務數據重要性等級和業務服務重要性等級確定資產的重要性，使得風險評估與業務及等級保護結合更加緊密。2)對于脆弱性賦值，將脆弱性細分為暴露程度及嚴重程度兩個權重。其中暴露程度與威脅賦值確定安全事件發生可能性，嚴重程度與資產價值確定安全事件造成的影響。3)將現有安全措施進一步細化，分解為預防措施和恢復措施，并研究得到預防措施有效性會影響到安全事件發生可能性，而恢復措施有效性會影響到安全事件造成的損失。4)結合被評估單位的實際業務需求，提出了僅針對被評估單位的不可接受安全事件進行數值計算，減少了計算工作量，有助于提升風險評估工作效率。5)根據油田企業實際需求，將安全事件發生可能性和安全事件造成的損失賦予不同的權重，從而使得風險計算結果中安全事件損失所占比重更大，更重視后果;并通過實例驗證等方式歸納總結出二者權重比例分配。

險評估模型應用分析

4．1資產識別

資產識別主要通過現場訪談的方式了解風險評估范圍涉及到的數據、軟件、硬件、服務、人員和其他六類資產相關的業務處理的數據及提供的服務和支撐業務處理的硬件設備和軟件情況。4．1．1資產重要性分析資產重要性分析以信息系統的業務為出發點，通過對業務處理的數據以及提供的服務重要性賦值的方法確定信息系統資產價值。業務處理的數據以及業務提供的服務的重要性分析及賦值方法具體如下。4．1．1．1業務數據重要性分析業務數據資產的重要性主要根據業務數據的安全屬性(即三性:保密性、完整性和可用性)被破壞對本單位造成的損失程度確定。油田企業各業務系統所處理的數據信息根據數據安全屬性被破壞后可能對油田企業造成的損失嚴重程度進行賦值。一般賦值為1—5。4．1．1．2業務服務重要性分析服務資產的重要性根據其完整性和可用性被破壞對本單位造成的損失程度確定。通過與相關人員進行訪談，調查了解每種業務提供的服務和支撐業務處理的硬件設備和軟件情況，根據服務安全屬性被破壞后可能對油田企業造成損失的嚴重程度，為各種業務服務重要性賦值。一般賦值為1—5。4．1．2資產賦值通過分析可以看出，六類資產中數據資產和業務服務資產的重要性是決定其他資產重要性的關鍵要素，因此，六類資產的賦值原則如下:1)數據資產重要性根據業務數據重要性賦值結果確定。2)服務資產重要性根據業務服務重要性賦值結果確定。3)軟件和硬件資產的重要性由其所處理的各類數據或所支撐的各種業務服務的重要性賦值結果中的較高者決定。4)人員的重要性根據其在信息系統中所承擔角色的可信度、能力等被破壞對本單位造成的損失程度確定。5)其他資產重要性根據其對油田企業的影響程度確定。

4．2威脅識別

4．2．1威脅分類對威脅進行分類的方式有多種，針對環境因素和人為因素兩類威脅來源，可以根據其表現形式將威脅進行分類［4］。本論文采用GB/Z24364－2009信息安全技術信息安全風險管理指南中基于表現形式的威脅分類方法。4．2．2威脅賦值根據威脅出現的頻率確定威脅賦值，威脅賦值一般為1～5。對威脅出現頻率的判斷根據風險評估常規做法獲得，比如安全事件報告、IDS、IPS報告以及其他機構的威脅頻率報告等。

4．3脆弱性識別

4．2．1脆弱性分類脆弱性識別所采用的方法主要有:問卷調查、配置核查、文檔查閱、漏洞掃描、滲透性測試等。油田企業脆弱性識別依據包括:GB/T22239信息安全技術信息系統安全等級保護基本要求的三級要求以及石油行業相關要求。4．2．2脆弱性賦值原則脆弱性賦值時分為脆弱性暴露程度和脆弱性嚴重程度。暴露程度根據其被利用的技術實現難易程度、流行程度進行賦值。對脆弱性的暴露程度給出如下5個等級的賦值原則:脆弱性的嚴重程度根據脆弱性被利用可能對資產造成的損害程度進行賦值。脆弱性的嚴重程度分為5個等級，賦值為1～5。

4．4現有安全措施識別

4．4．1現有安全措施識別方法信息系統環境中的現有安全措施根據其所起的安全作用分為預防措施和恢復措施。預防措施用于預防安全事件的發生(例如入侵檢測、網絡訪問控制、網絡防病毒等)，可以降低安全事件發生的概率。因此針對每一個安全事件，分析現有預防措施是否能夠降低事件發生的概率，其降低發生概率的效果有多大。恢復措施可以在安全事件發生之后幫助盡快恢復系統正常運行，可能降低安全事件的損失(例如應急計劃、設備冗余、數據備份等)，因此針對每一個安全事件，分析現有恢復措施是否能夠降低事件損失，其降低事件損失的效果有多大。4．4．2現有安全預防措施有效性賦值原則通過識別信息系統現有安全措施及其有效性驗證，針對每一個安全事件，分析現有預防措施中可能降低事件發生概率的情況，并對預防措施的有效性分別給出賦值結果。評估者通過分析安全預防措施的效果，對預防措施賦予有效性因子，有效性因子可以賦值為0．1～1。4．4．3現有安全恢復措施有效性賦值原則通過識別信息系統現有安全措施及其有效性驗證，針對每一個安全事件，分析現有恢復性安全措施中可能降低事件損失的情況。評估者通過分析安全恢復措施的有效性作用，對安全恢復措施賦予有效性因子，有效性因子可以賦值為0．1～1。

4．5安全事件分析

4．5．1安全事件關聯綜合識別出的脆弱性及現有安全措施識別出的缺陷，結合油田企業信息系統面臨的各種威脅，將各資產的脆弱性與威脅相對應形成安全事件。分析這些安全事件一旦發生會對國家、單位、部門及評估對象自身造成的影響，分析發生這些安全事件可能造成影響的嚴重程度，從中找出部門(或單位)對發生安全事件造成影響無法容忍的那些安全事件，即確定不可接受安全事件。4．5．2安全事件發生可能性分析(1)計算威脅利用脆弱性的可能性針對4．5．1中分析得出的不可接受安全事件，綜合威脅賦值結果及脆弱性的暴露程度賦值結果，計算威脅利用脆弱性導致不可接受安全事件的可能性，采用乘積形式表明其關系，即安全事件發生的可能性的初始結果計算公式如下:L1(T，V)1=T×V1其中，L1(T，V1)代表不可接受事件發生的可能性的初始結果;T代表威脅賦值結果;V1代表脆弱性的暴露程度賦值結果。(2)分析現有預防措施的效果通過對企業信息系統的現有安全措施的識別和有效性驗證，針對4．5．1分析得到的不可接受安全事件，分析描述現有預防措施中可能降低事件發生概率的情況，并給出有效性因子賦值結果。(3)計算安全事件發生的可能性考慮到現有安全措施可能降低安全事件發生的可能性，因此安全事件發生的可能性的最終計算公式為:L2(T，V)1=L1(T，V1)×P1其中，L2(T，V1)為最終安全事件發生的可能性結果;L1(T，V1)為安全事件發生的可能性初始結果;P1代表安全預防措施有效性賦值結果。然后，形成調節后的安全事件可能性列表。4．5．3安全事件影響分析(1)計算脆弱性導致資產的損失將各資產的脆弱性(管理類脆弱性除外，管理類脆弱性采用定性方式進行主觀分析)與威脅相對應形成安全事件(4．5．1不可接受安全事件列表)，根據資產的重要性及脆弱性的嚴重程度，計算脆弱性可能導致資產的損失，即:F1(A，V2)=A×V2其中，F1(A，V2)代表安全事件可能導致資產的損失的初始計算結果;A代表資產價值，即資產賦值結果;V2代表脆弱性嚴重程度，即脆弱性嚴重程度賦值結果。(2)分析現有安全恢復措施的有效性通過對油田企業信息系統的現有安全措施的識別和有效性驗證，針對4．5．1分析得到的不可接受安全事件，分析描述現有恢復措施中可能降低事件發生的概率的情況，并根據表9的賦值原則分別給出安全恢復措施的有效性賦值結果。(3)計算安全事件的損失考慮到恢復措施可能降低安全事件帶來的損失，因此安全事件損失可以根據安全恢復措施的有效性予以調整。采用乘積形式表明關系，即:F2(A，V2)=F1(A，V2)×P2其中，F2(A，V2)為安全事件可能造成的損失的最終計算結果;F1(A，V2)為安全事件可能造成損失的初始計算結果;P2代表安全恢復措施有效性賦值結果。然后，形成調節后的安全事件損失計算結果列表。

4．6綜合風險計算及分析

4．6．1計算風險值結合油田企業關注低可能性重性的安全事件的需求，參照美國關鍵信息基礎設施風險評估計算方法，采用安全事件發生的可能性以及安全事件可能帶來的損失的加權之和方式計算風險值。這種方法更加重視安全事件帶來的損失，使得損失在對風險值的貢獻中權重更大。在使用油田企業以往測評結果試用的基礎上，將安全事件可能帶來的損失的權重定為80%。具體計算公式為:R(L2，F)2=L2(T，V)1×20%+F2(A，V)2×80%其中，R(L2，F2)代表風險值，L2(T，V1)為安全事件發生可能性的最終結果，F2(A，V2)為安全事件可能造成的損失的最終計算結果。4．6．2風險結果判斷計算出風險值后，應對風險值進行分級處理，將風險級別劃分為五級。4．6．3綜合分析根據風險計算結果，從多個不同方面綜合匯總分析被評估信息系統存在的安全風險情況。例如可從以下幾方面匯總分析:1)風險較高的資產統計:匯總存在多個脆弱性可能導致多個中等以上風險等級安全事件發生的資產，從資產角度綜合分析被評估信息系統存在的安全風險情況;2)引起較高風險的脆弱性統計:匯總會給被評估信息系統帶來中等以上安全風險的脆弱性及其影響的資產及嚴重程度，分析可能帶來的危害后果;3)出現頻率較高的脆弱性統計:匯總中等以上脆弱性在資產中的出現頻率，從而反映脆弱性在被評估系統中的普遍程度，出現頻率越高，整改獲取的收益越好。4)按層面劃分的風險點分布情況匯總:匯總網絡、主機、應用、數據、物理、管理等各層面存在的脆弱性及其嚴重程度，對比分析風險在不同層面的分布情況。

5結語

篇10

關鍵詞：信息安全 風險評估 方法研究

中圖分類號：TP309 文獻標識碼：A 文章編號：1007-9416（2015）12-0000-00

信息系統的風險評估是保證信息系統安全的重要措施，通過客觀分析可以發現，信息系統的風險評估方法雖然多種多樣，各有所長。但是卻過分依賴于現實經驗，經驗固然是評估風險的重要內容，然而過度依賴則會使研究人員在評估過程中無法做到完全客觀，從而降低了風險評估結果的科學性。

1信息系統安全風險概述

眾所周知，信息系統主要由信息技術系統、系統運行環境以及信息資源三部分組成，因此，著三項也是信息系統安全風險的重點評估對象。信息技術系統包括計算機的硬件、軟件以及其他固件，主要負責信息采集、處理等。系統運行環境包括信息系統運行中的內部環境和外部環境，在對系統運行環境進行安全風險評估時，需要充分考慮到信息系統自身安全配置與管理運行等綜合因素。信息是進行信息系統安全評估的主要保護對象，一般而言，攻擊的最終目的就是為了破壞或者獲取信息，主要包括信息數據與相關代碼[1]。

2信息安全風險評估研究現狀

隨著信息系統的發展，其內部結構也越來越復雜，因此，信息系統的安全風險已經不僅僅是由外部攻擊而引起的，也很有可能是來自內部破壞或者信息系統自身的安全漏洞。到目前為止，國外關于信息安全風險評估已經初步形成了較為全面系統的研究方式，包括基礎設施、網絡環境、操作系統、安全數據庫等多個方面。相對而言，我國信息安全技術的研究起步較晚，目前主要存在的問題包括風險標準較為落后、缺乏適合的系統理論與先進的研究設施、風險評估模型不成熟以及缺乏專業人才。信息系統的安全風險評估已經成為信息技術的重點研究項目，這項研究對我國社會發展與經濟建設都有著至關重要的影響，對此，我國應該加強基礎建設和資金投入，引進國外較為先進的指導理論與評估軟件，并盡快培養出既有專業技術和管理能力的人才，以保證信息系統的安全運行[2]。

3信息安全風險評估量化方法研究

3.1安全風險的定量分析

一般而言，風險事件的發生是主要還是由于信息系統自身存在漏洞或者管理弱點，在信息系統存在問題時，如果遇到外在的威脅就可能出現風險事件。而其主要因素可以概括為風險事件發生的可能性與威脅行為發生的可能性兩個層次。

信息系統受到攻擊的動機一般分為主動攻擊和意外事件兩類，其中，多數風險事件的發生都是由于系統受到主動攻擊。因此，在進行風險評估時要充分考慮到對方的破壞動機與破壞能力，以此計算風險發生的可能性。在對安全風險進行定量分析時，要嚴格按照分析程序，步驟包括分析風險影響、選擇影響評估項、確定各評估項的權重以及計算風險影響值。

3.2模糊綜合評判法的風險量化評估

模糊綜合評判法是以模糊數學為基礎，根據其中的隸屬理論從而將定性評價轉化為定量評價，概括而言，就是指利用模糊數學的優勢對受到多重因素影響或制約的事物做出一個客觀整體的評價。運用模糊綜合評價法進行信息系統安全評估，具有結果清晰、系統性強的特點，適合解決非確定性問題。模糊綜合評價法中主要涉及的步驟為構建模糊綜合評價指標、構建完成相關的權重向量、構建評價矩陣以及將評價矩陣與權重進行合成。在對評價因素的特征進行系統分析之后，以各評價因素的特征為根據，確定評價值與評價因素之間的隸屬度函數，對于確定兩者之間的隸屬度函數方法并沒有嚴格的規定，通常研究人員會采用F統計方法，也可以與經驗豐富的專業學者進行商討，從而借助專業學者的現實經驗進行評價，做出最后的評價結果。但是客觀而言，過度依賴現實經驗雖然可以減少研究步驟，降低工作難度，但是最終的結果可能會失去客觀性與科學性，因此，對于關系社會發展與經濟的信息系統，最好根據具體情況，對評價因素進行系統性的篩選，科學客觀的確定評價值與評價因素值之間的隸屬度函數關系，并且要合理的確定評價因素的權重[3]。

3.3故障樹分析法的風險量化評估

故障樹分析法是安全系統工程發展的重要標志，它可以運用邏輯方法對潛在的風險進行直觀的分析，分析結果具有很強的邏輯性和系統性，可以對系統安全問題作出準確的預測，因此，故障樹分析法既適用于定性分析也適用于定量分析。顧名思義，故障樹分析法就是一種倒立樹狀邏輯因果的關系圖，它有自身獨特的表示方法和語言形式，可以清晰明了的描述出系統中各個事件之間的因果關系。通過研究故障樹圖可以完整的發現各級之間的關聯作用，也正是因此，故障樹圖分析法的應用可以預知故障事件的發生。故障樹邏輯圖的構成主要依賴于邏輯門，因此它既可以分析由單一構件而引起的系統故障，也可以分析由多個構件在不同模式下而產生的系統故障問題。運用故障樹分析法進行的風險評估結果具有較高的安全性與可靠性，而且通過研究，故障樹分析法還在不斷的完善，其應用范圍也將越來越廣泛，分析結果也會更加具有說服力[4]。

4結語

隨著社會對信息系統的依賴性逐漸增大，信息系統的安全問題已經直接影響到社會經濟的發展趨勢，但是信息系統復雜且龐大，對專業性和嚴謹性都有較高的要求。因此，只有防患于未然才是最好的解決辦法，在問題發生之前，通過客觀系統的分析，對信息系統做出清晰準確的安全評估，并根據評估結果制定有效的防范于解決措施，以免問題擴大，造成更嚴重的影響。

參考文獻

[1]黃芳芳.信息安全風險評估量化模型的研究與應用[D].湖北工業大學，2010.

[2]宇.基于層次分析法的信息安全風險評估量化方法研究[D].江西財經大學，2012.